Escuchar
Cada día son más las organizaciones que, buscando adecuarse a la normativa vigente de protección de datos personales, confeccionan consentimientos informados para darle un tratamiento lícito y con autorización del titular de los datos personales.
En el país, bajo la ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (N° 8.968), es obligatorio que quien realice tratamiento de datos personales facilite un consentimiento a los titulares de esa información cumpliendo con los requisitos que se indicarán.
El consentimiento informado es, en todo ordenamiento jurídico que haya establecido normativa especial en materia de protección de datos, el requisito indispensable que todo responsable de bases de datos personales debe cumplir y observar para realizar un tratamiento de los datos que recopile, sin que vulnere principios básicos relativos a la privacidad e intimidad de las personas.
Dicho consentimiento, según la legislación, puede ser físico en un documento aparte o bien en un respaldo digital, atendiendo de esa forma a los cambios tecnológicos (según señala la ley en el inciso 2° del artículo 5°).
En el consentimiento el responsable de la base de datos deberá indicar al menos lo siguiente: la existencia de la base de datos, los fines de la recolección de los datos, los destinatarios y quienes podrán consultar la información, el carácter obligatorio o facultativo de entregar los datos, el tipo de tratamiento, las consecuencias de no suministrar la información, cómo ejercer los derechos que le asisten al titular de los datos, así como la identidad y dirección del responsable de la base de datos.
El documento puede ser elaborado para que no solo contenga obligaciones del responsable de la base de datos, sino que también se pueden incluir obligaciones al titular –todo aquel que entrega información a una base de datos– de los datos personales, tales como que en caso de modificar sus datos de contacto deberá de manifestarlo en un plazo establecido y por los medios señalados al efecto bajo apercibimiento que no será responsabilidad del dueño de la base de datos el tener algunos datos sin actualizar.
¿Es obligatorio?
El consentimiento no es obligatorio de acuerdo a las excepciones que se indican en el inciso segundo del artículo quinto de la ley antes mencionada. La norma indica que no será necesario en caso de orden fundamentada por una autoridad judicial o acuerdo de una comisión especial de la Asamblea Legislativa; cuando sean datos de acceso irrestricto obtenidos de fuentes de acceso público; o se entreguen por disposición constitucional o legal.
Sin embargo, siempre deberán mantenerse los datos bajo las medidas de seguridad que establece la legislación.
De igual forma, el titular de los datos puede solicitar la modificación al consentimiento informado si dicho documento viola principios fundamentales de privacidad e intimidad, u obliga a que sus datos sean transferidos a terceros sin que esto sea requerido para obtener los servicios o bienes que pretende de quien solicita la información.
Claro está que el consentimiento podrá ser modificado por acuerdo de las partes. Incluso podría solicitarse la modificación de manera unilateral si el consentimiento original incumple con los requisitos establecidos en la Ley 8.968 y su reglamento.
Existe al menos un criterio de la Agencia de Protección de Datos de Costa Rica (Prodhab), bajo el expediente número 029-04-2015-DE, en el cual la Agencia le ordena a una institución financiera a modificar el consentimiento informado de acuerdo con lo solicitado por el cliente.
El consentimiento original señalaba que para brindar el servicio de tarjeta de crédito, el cliente debía autorizar la transferencia de sus datos personales a burós de crédito (inscritos o no ante la Prodhab), lo cual es una violación al principio de autodeterminación informativa, pues una entidad financiera no precisa de transferir datos personales a burós de crédito para otorgar una tarjeta de crédito.
Por lo tanto, la discusión en este tema debe de centrarse no solo en la innecesaria transferencia de datos personales para alimentar un sistema que se maneja sin control alguno, sino en el riesgo que implica para las personas el que sus datos personales, una vez transferidos fuera de la institución bancaria o de cualquier base de datos inscrita o no ante la Prodhab, pasen a engrosar el interminable número de listas de datos personales que ponen en riesgo la privacidad y la intimidad de las personas por no cumplir con las medidas de seguridad establecidas en la normativa.
